Recoger registros de Delinea Secret Server

Disponible en:

En este documento se explica cómo recoger los registros de Delinea (antes Thycotic) Secret Server. El analizador transforma los registros sin procesar en un formato estructurado que se ajusta al modelo de datos unificado (UDM) de Google Security Operations. Primero, extrae campos clave, como marcas de tiempo, tipos de eventos e información de usuario. Después, usa una lógica condicional basada en el tipo de evento específico para asignar los datos a los campos de UDM correspondientes. Por último, enriquece los datos para analizarlos en Google SecOps.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google Security Operations
  • Host de Windows 2016 o versiones posteriores, o Linux con systemd
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Acceso privilegiado a Delinea Secrets Server

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión.
    • Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google Security Operations.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'THYCOTIC'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
    • Sustituye <customer_id> por el ID de cliente real.
    • Actualiza "/ruta/a/archivo-de-autenticación-de-ingestión.json" con la ruta donde se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Thycotic Secret Server para enviar registros mediante Syslog

  1. Inicia sesión en Thycotic Secret Server con las credenciales de administrador.
  2. Vaya a Administrar > Configuración.
  3. Haz clic en Editar.
  4. Marca la casilla Habilitar registro Syslog/CEF y especifica los siguientes detalles:
    • Servidor Syslog/CEF: introduce la dirección IP de tu servidor Syslog o Bindplane.
    • Protocolo Syslog/CEF: selecciona UDP o TCP (en función de la configuración de tu servidor Syslog o Bindplane).
    • Puerto Syslog/CEF: introduce el número de puerto en el que se ha configurado el servidor Syslog o Bindplane para que escuche.
  5. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
Account_Domain event1.idm.read_only_udm.principal.domain El valor se toma del campo Account_Domain del campo msg del registro sin procesar.
Por usuario event1.idm.read_only_udm.principal.user.userid El valor se toma del campo By User del campo msg del registro sin procesar.
ID de contenedor event1.idm.read_only_udm.principal.asset.asset_id El valor se toma del campo Container Id del campo msg del registro sin procesar y tiene el prefijo container_id:.
Nombre del contenedor event1.idm.read_only_udm.principal.resource.name El valor se toma del campo Container name del campo msg del registro sin procesar.
cs2 event1.idm.read_only_udm.additional.fields[].value.string_value El valor se toma del campo cs2 del campo msg del registro sin procesar.
cs3 event1.idm.read_only_udm.target.file.full_path El valor se toma del campo cs3 del campo msg del registro sin procesar.
cs4 event1.idm.read_only_udm.principal.user.user_display_name El valor se toma del campo cs4 del campo msg del registro sin procesar.
Detalles event1.idm.read_only_udm.additional.fields[].value.string_value El valor se toma del campo Details del campo msg del registro sin procesar.
fname event1.idm.read_only_udm.target.file.full_path El valor se toma del campo fname del campo msg del registro sin procesar.
Host event1.idm.read_only_udm.principal.hostname, event1.idm.read_only_udm.principal.asset.hostname El valor se toma del campo Host del campo msg del registro sin procesar.
Nombre del elemento event1.idm.read_only_udm.target.user.userid El valor se toma del campo Item Name del campo msg del registro sin procesar.
event1.idm.read_only_udm.additional.fields[].key El valor se ha codificado como fname.
event1.idm.read_only_udm.additional.fields[].key El valor se ha codificado como Group or User.
event1.idm.read_only_udm.additional.fields[].key El valor se ha codificado como Details.
event1.idm.read_only_udm.additional.fields[].key El valor se ha codificado como type_id.
event1.idm.read_only_udm.extensions.auth.type El valor se ha codificado como MACHINE.
event1.idm.read_only_udm.metadata.description El valor se toma del campo thycotic_event, que se extrae del registro sin procesar mediante un patrón grok.
event1.idm.read_only_udm.metadata.event_timestamp.seconds El valor se deriva del campo rt, si está presente, o del campo ts. Ambos campos se extraen del registro sin procesar mediante patrones grok.
event1.idm.read_only_udm.metadata.event_type El valor se determina en función del campo thycotic_event y de otras condiciones. Por ejemplo, si thycotic_event es USER - LOGIN, el tipo de evento se define como USER_LOGIN.
event1.idm.read_only_udm.metadata.log_type El valor se ha codificado como THYCOTIC.
event1.idm.read_only_udm.metadata.product_event_type El valor se toma del campo thycotic_event, que se extrae del registro sin procesar mediante un patrón grok.
event1.idm.read_only_udm.metadata.product_log_id El valor se toma del campo action_id, que se extrae del registro sin procesar mediante un patrón grok.
event1.idm.read_only_udm.metadata.product_name El valor se toma del campo device_product, que se extrae del registro sin procesar mediante un patrón grok. Si el campo está vacío, el valor se codifica como Secret Server.
event1.idm.read_only_udm.metadata.product_version El valor se toma del campo device_version, que se extrae del registro sin procesar mediante un patrón grok.
event1.idm.read_only_udm.metadata.vendor_name El valor se ha codificado como Thycotic.
event1.idm.read_only_udm.network.ip_protocol El valor es TCP si el campo input.type es tcp.
event1.idm.read_only_udm.observer.application El valor se toma del campo agent.type si está presente. De lo contrario, se codifica como Secret Server.
event1.idm.read_only_udm.observer.asset_id El valor se asigna a Agent ID: concatenado con el campo agent.id.
event1.idm.read_only_udm.observer.hostname El valor se toma del campo agent.hostname si está presente. De lo contrario, se toma del campo server.
event1.idm.read_only_udm.observer.platform_version El valor se toma del campo agent.version.
event1.idm.read_only_udm.observer.user.userid El valor se toma del campo agent.name.
event1.idm.read_only_udm.principal.asset.asset_id El valor se asigna a ID: concatenado con el campo host.id.
event1.idm.read_only_udm.principal.asset.hardware.cpu_platform El valor se toma del campo host.architecture.
event1.idm.read_only_udm.principal.asset.hostname El valor se toma del campo server si está presente. De lo contrario, se toma del campo host.hostname.
event1.idm.read_only_udm.principal.asset.ip El valor se toma del campo src si está presente. De lo contrario, se toma del campo src_ip.
event1.idm.read_only_udm.principal.hostname El valor se toma del campo host.hostname si está presente. De lo contrario, se toma del campo server.
event1.idm.read_only_udm.principal.ip El valor se toma del campo src si está presente. De lo contrario, se toma del campo src_ip o del campo host.ip.
event1.idm.read_only_udm.principal.mac El valor se toma del campo host.mac.
event1.idm.read_only_udm.principal.platform El valor es LINUX si el campo host_os_platform es centos. De lo contrario, se le asigna el valor en mayúsculas del campo host_os_platform.
event1.idm.read_only_udm.principal.platform_patch_level El valor se toma del campo host.os.kernel.
event1.idm.read_only_udm.principal.platform_version El valor se toma del campo host.os.version.
event1.idm.read_only_udm.principal.port El valor se toma del campo src_port, que se extrae del campo log.source.address mediante un patrón grok.
event1.idm.read_only_udm.principal.user.user_display_name El valor se toma del campo cs4 del campo msg del registro sin procesar.
event1.idm.read_only_udm.principal.user.userid El valor se toma del campo suser del campo msg del registro sin procesar o del campo By User si thycotic_event es USER - LOGIN, USER - LOGOUT, USER - LOGINFAILURE o USER - EDIT.
event1.idm.read_only_udm.security_result.action El valor se toma del campo Action del campo msg del registro sin procesar. También se puede definir como ALLOW o BLOCK en función del valor de thycotic_event.
event1.idm.read_only_udm.security_result.description El valor se toma del campo temp_message, que contiene la parte restante del campo msg después de extraer otros campos.
event1.idm.read_only_udm.security_result.severity El valor se determina en función del campo syslog_severity. Por ejemplo, si syslog_severity contiene error o warning, la gravedad se define como HIGH. Si thycotic_event es System Log, la gravedad se establece en INFORMATIONAL.
event1.idm.read_only_udm.security_result.severity_details El valor se toma del campo syslog_severity.
event1.idm.read_only_udm.target.file.full_path El valor se crea concatenando los campos cs3 y fname con un separador / si ambos campos están presentes. Si solo hay un campo, el valor se toma de ese campo.
event1.idm.read_only_udm.target.resource.product_object_id El valor se toma del campo type_id.
event1.idm.read_only_udm.target.user.userid El valor se toma del campo item_name del campo msg del registro sin procesar o del campo Item Name si thycotic_event es USER - LOGIN, USER - LOGOUT, USER - LOGINFAILURE o USER - EDIT.
events.timestamp.seconds El valor se deriva del campo rt, si está presente, o del campo ts. Ambos campos se extraen del registro sin procesar mediante patrones grok.
rt event1.idm.read_only_udm.metadata.event_timestamp.seconds El valor se toma del campo rt del campo msg del registro sin procesar y se usa para definir la marca de tiempo del evento.
src event1.idm.read_only_udm.principal.asset.ip, event1.idm.read_only_udm.principal.ip El valor se toma del campo src del campo msg del registro sin procesar.
src_ip event1.idm.read_only_udm.principal.asset.ip, event1.idm.read_only_udm.principal.ip El valor se toma del campo src_ip, que se extrae del campo log.source.address mediante un patrón grok.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.